ユーザーIDとパスワードを売買できるサイト”Leakbase”が閉鎖。

f:id:nanashi0x:20171205174606p:plain

https://krebsonsecurity.com/2017/12/hacked-password-service-leakbase-goes-dark/

ダークウェブ上のLeakbaseが閉鎖した。

Leakbaseとは、世界中で盗まれた数十億件以上に及ぶIDやパスワード等を販売していたダークウェブ上に存在するオンラインショップである。

Leakbaseを閉鎖に至らせたのは、今年の初旬にHansaというダークウェブのマーケットサイトを閉鎖させたのと同じ「オランダの法執行機関」による捜査の手が入った事が主な原因のようだ。

Leakbaseに現れた”異変”

Leakbase[.]pwは、2016年9月にメンバー募集を開始し、「10億件ものユーザーネームとパスワードを販売するWebサイト」として利用されてきた。

Leakbaseで取り扱われていた認証情報は、linkedin.com, mysapce.com, dropbox.com等の有名なWebサービス向けのものも含まれていたようだ。

KrebsOnSecurityの調査では、最近になって一部のLeakbaseのユーザーから同サイトのサービスに関して不満を聞く機会が増えていたという。

あるユーザーの話では、「”(それまでは普通に提供されていた)認証情報の購入やWebサイトで起きるトラブル等に対応してくれる”質の高いカスタマーサポート”が受けられなくなった”」と漏らしていたようだ。

Leakbaseへのアクセスがリダイレクト

先週末から、Leakbaseにアクセスすると、haveibeenpwned.comにリダイレクトされるようになっていた。

”haveibeenpwned.com”とは、セキュリティ研究者であるTroy Hunt氏が運営する安全なウェブサイトである。

f:id:nanashi0x:20171205190505p:plain

(haveibeenpwned.comのトップページ。)

haveibeenpwned.com上の検索ボックスに、Emaiアドレスやパスワード等の認証情報を入力すると、入力された値が情報漏えいの被害に遭っていないかどうか調べることが出来る。

尚、haveibeenpwned.comは公にされている情報漏えいした認証情報を登録するデータベースを参照している。つまりhaveibeenpwned.comのデータベースには、該当の認証情報は保存されていない。

Leakbaseがサービス停止を公表

Leakbaseの運営者は、2017年4月にハッキング被害に遭ってから変わったようだ。

Leakbaseの新しい運営者は、2017年の7月にオランダの法執行機関によって閉鎖されたダークウェブの違法オンラインサイトで違法薬物の取引を行なっていたとされている(Brian Krebs調べ)。

12月2日、Leakbaseのツイッターアカウントは”サービスを停止する”と公表しており、最新のツイートでは「既に(認証情報を購入する為に)支払ったお金の払い戻しに対応する」旨が記されている。

本記事の元になった記事でBrianは、「上記2つのツイートに興味深い点がある」とコメント。

実は、それまでのLeakbaseによって発信されたツイートは「TwitterのWebクライアント」から発信されたツイートだったのに対して、最後の2つのツイートは「Mobile Web(M2)」から発信されたものだからだ。

皮肉にも、前の運営者は管理用のパスワードを、別サービスのパスワードと使い回しをしていた事から、Leakbaseは2017年4月にハッキング被害に遭った。

前の運営者が使い回したパスワードは、x4b[.]netという、DDoS攻撃を防ぐ防弾サーバーを提供するWebサービスに使用されていたもので、防弾サーバーはLeakbaseの為に使用されていたようだ。

2017年4月にLeakbaseがハッキング被害に遭う数日前、x4b[.]netもハッキング被害に遭っていた。

同サイトに平文で保存されていた認証情報がMoney Teamを名乗るハッキング集団によってオンライン上に公開されていたのだ。

認証情報の公開は有罪なのか

そもそも、情報漏えいで公の目に晒された認証情報をネット上で公開してお金を取ることは有罪なのだろうか。

この点に関しては法の専門家によって意見が分かれる所だ。

Brianは今回閉鎖したLeakbaseと同様のサービスを行なっていたLeakedsource(既に閉鎖済)に関して調査した事がある。

その際に、Brianはジョージ・ワシントン大学のサイバーセキュリティにまつわる法律を研究するチーム”Cybersecurity Law Initiative”のディレクター、Orin Kerr氏にインタビューした。

Kerr氏は、「ネット上で漏洩したパスワードを販売する事が有罪なのか」というBrianの問いに対して、

「(それらサービスの)運営者が、(LeakbaseやLeakedsource等のサービスで販売される)漏洩したパスワードが、”犯罪の為に使われるよう運営者が販売した”と検察が認めれば、有罪と見なされるだろう」

とコメントしたという。

また、Kerr氏は

Computer Fraud and Abuse Act (以下、CFAA)に照らせば、パスワードの売買は犯罪」

とコメント。

具体的に言えば、CFAAの第六条に、「(パスワードの売買は)理解の上で、又は、意図して、コンピューターに認証無しでアクセスを行い、パスワードの売買行為をする事は犯罪である」と明記されている。